Nadzór nad krajowym schematem identyfikacji elektronicznej sprawuje minister właściwy do spraw informatyzacji.
1. W ramach nadzoru minister właściwy do spraw informatyzacji:
1) prowadzi kontrole:
a) spełniania przez systemy identyfikacji elektronicznej przyłączone do węzła krajowego wymagań, o których mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1,
b) spełniania przez systemy teleinformatyczne, w których udostępniane są usługi online, przyłączone do węzła krajowego wymagań, o których mowa w art. 21t czynności ministra poprzedzające zgodę na przyłączeniu do węzła krajowego systemu teleinformatycznego ust. 1;
2) prowadzi działania zapobiegające naruszeniom bezpieczeństwa w krajowym schemacie identyfikacji elektronicznej, w szczególności dokonuje systematycznego szacowania ryzyka wystąpienia incydentów w krajowym schemacie identyfikacji elektronicznej;
3) określa i udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej politykę bezpieczeństwa węzła krajowego;
4) uczestniczy w inicjatywach krajowych i międzynarodowych mających na celu podnoszenie bezpieczeństwa węzła krajowego, węzła transgranicznego oraz systemów identyfikacji elektronicznej;
5) współpracuje z organem właściwym do spraw ochrony danych osobowych.
2. W ramach działań zapobiegających naruszeniom bezpieczeństwa w krajowym schemacie identyfikacji elektronicznej minister właściwy do spraw informatyzacji:
1) prowadzi systematyczne szacowanie ryzyka wystąpienia incydentów, przez które rozumie się każde zdarzenie, które ma lub może mieć niekorzystny wpływ na poufność danych albo rozliczalność działań dokonywanych w ramach świadczonych usług w krajowym schemacie identyfikacji elektronicznej, w tym za pośrednictwem węzła krajowego;
2) wdraża, rozwija i upowszechnia stosowanie środków technicznych i organizacyjnych uwzględniających najnowszy stan wiedzy, odpowiednich i proporcjonalnych do zidentyfikowanych ryzyk, zapewniających bezpieczeństwo systemów teleinformatycznych wykorzystywanych do świadczenia usług za pośrednictwem węzła krajowego;
3) po dostrzeżeniu podatności lub zagrożeń naruszających lub mogących naruszać poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemach teleinformatycznych działających w ramach krajowego schematu identyfikacji elektronicznej niezwłocznie podejmuje działania zaradcze.
1. W przypadku naruszenia polityki bezpieczeństwa węzła krajowego lub niespełniania wymagań, o których mowa w art. 21b decyzja o przyłączeniu systemu identyfikacji elektronicznej do węzła krajowego ust. 1, dotyczących systemu identyfikacji elektronicznej przyłączonego do węzła krajowego, w zakresie mającym wpływ na wiarygodność uwierzytelnienia z wykorzystaniem środków identyfikacji elektronicznej wydanych w tym systemie, minister właściwy do spraw informatyzacji wydaje decyzję o zawieszeniu:
1) możliwości korzystania z tego systemu, jeżeli naruszenie dotyczy całego systemu, albo
2) możliwości korzystania z części środków identyfikacji elektronicznej wydanych w tym systemie, jeżeli naruszenie dotyczy części środków identyfikacji elektronicznej i zawieszenie takie jest możliwe technicznie.
2. Minister właściwy do spraw informatyzacji wydaje decyzję o przywróceniu możliwości korzystania z systemu identyfikacji elektronicznej lub zawieszonej części środków identyfikacji elektronicznej niezwłocznie po otrzymaniu od podmiotu odpowiedzialnego za system identyfikacji elektronicznej potwierdzenia usunięcia naruszenia, które było podstawą do zawieszenia, o którym mowa w ust. 1.
3. Decyzja, o której mowa w ust. 1, podlega natychmiastowemu wykonaniu. Przepisu art. 61 zmiana ustawy o Krajowym Rejestrze Sądowym § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Minister właściwy do spraw informatyzacji wydaje decyzję o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego i odłącza ten system od węzła krajowego w przypadku:
1) złożenia przez podmiot odpowiedzialny za system identyfikacji elektronicznej wniosku o odłączenie od węzła krajowego;
2) zaprzestania prowadzenia działalności przez podmiot odpowiedzialny za system identyfikacji elektronicznej;
3) nieusunięcia przyczyny zawieszenia możliwości uwierzytelniania, o której mowa w art. 21r naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 1, lub możliwości korzystania z systemu, o której mowa w art. 39c decyzja o zawieszeniu możliwości korzystania z systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia;
4) nieprzedstawienia kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji elektronicznej wydanych w systemie identyfikacji elektronicznej;
5) wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii w przypadku, o którym mowa w art. 21s obowiązki informacyjne podmiotu odpowiedzialnego za system identyfikacji elektronicznej ust. 3, w stosunku do podmiotu odpowiedzialnego za system identyfikacji elektronicznej.
1. Decyzja o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego jest podstawą do wykreślenia tego systemu z rejestru systemów.
2. Decyzja podlega natychmiastowemu wykonaniu. Przepisu art. 61 skarga a wykonywanie aktu lub czynności § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się.
Podmiot odpowiedzialny za system identyfikacji elektronicznej, na żądanie ministra właściwego do spraw informatyzacji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji oraz udostępniać dokumenty, które są bezpośrednio związane z funkcjonowaniem systemu identyfikacji elektronicznej, w tym dotyczą naruszeń, o których mowa w art. 21r naruszenie bezpieczeństwa systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 1 lub art. 39c decyzja o zawieszeniu możliwości korzystania z systemu identyfikacji elektronicznej przyłączonego do węzła krajowego ust. 1.
1. W przypadku naruszenia polityki bezpieczeństwa, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 3, lub niespełniania wymagań, o których mowa w art. 21t czynności ministra poprzedzające zgodę na przyłączeniu do węzła krajowego systemu teleinformatycznego ust. 1, dotyczących systemu teleinformatycznego, w którym udostępniane są usługi online, przyłączonego do węzła krajowego, w zakresie mającym wpływ na bezpieczeństwo uwierzytelnienia z wykorzystaniem węzła krajowego, minister właściwy do spraw informatyzacji zawiesza w tym systemie możliwość uwierzytelniania z wykorzystaniem węzła krajowego.
2. Minister właściwy do spraw informatyzacji przywraca możliwość uwierzytelniania z wykorzystaniem węzła krajowego w systemie teleinformatycznym, w którym udostępniane są usługi online, niezwłocznie po otrzymaniu od podmiotu odpowiedzialnego za ten system potwierdzenia usunięcia naruszenia, które było podstawą do zawieszenia, o którym mowa w ust. 1.
Minister właściwy do spraw informatyzacji wydaje decyzję o odłączeniu systemu teleinformatycznego, w którym udostępniane są usługi online, i odłącza ten system od węzła krajowego w przypadku:
1) złożenia przez podmiot odpowiedzialny za ten system wniosku o odłączenie systemu od węzła krajowego;
2) zaprzestania udostępniania usług online w tym systemie;
3) nieusunięcia przyczyny zawieszenia tego systemu, o której mowa w art. 39g zawieszenie możliwości uwierzytelniania z wykorzystaniem węzła krajowego ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia.
Podmiot odpowiedzialny za system teleinformatyczny, w którym udostępniane są usługi online, na żądanie ministra właściwego do spraw informatyzacji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać informacji oraz udostępniać dokumenty, które są bezpośrednio związane z funkcjonowaniem tego systemu, w tym dotyczą naruszeń, o których mowa w art. 39g zawieszenie możliwości uwierzytelniania z wykorzystaniem węzła krajowego ust. 1.
1. Kontrola, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 1, jest przeprowadzana przez osoby upoważnione przez ministra właściwego do spraw informatyzacji.
2. Osoby, o których mowa w ust. 1, są uprawnione do:
1) wstępu do obiektów i pomieszczeń podmiotu odpowiedzialnego za system identyfikacji elektronicznej lub podmiotu wydającego środek identyfikacji elektronicznej w tym systemie;
2) wglądu do dokumentów zawierających dane dotyczące funkcjonowania systemu identyfikacji elektronicznej oraz wydanych w tym systemie środków identyfikacji elektronicznej;
3) przetwarzania danych osobowych w zakresie objętym przedmiotem kontroli;
4) przeprowadzania oględzin obiektów oraz innych składników majątkowych związanych z funkcjonowaniem systemu identyfikacji elektronicznej, a także sprawdzania przebiegu czynności związanych z wydawaniem środków identyfikacji elektronicznej oraz oceny technicznej środków identyfikacji elektronicznej;
5) żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników podmiotu odpowiedzialnego za system identyfikacji elektronicznej, podmiotu wydającego środek identyfikacji elektronicznej oraz przeprowadzającego procedurę uwierzytelniania w tym systemie;
6) zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.
W przypadku gdy wyniki kontroli wykażą niezgodność z przepisami ustawy, minister właściwy do spraw informatyzacji, po zapoznaniu się z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez podmiot kontrolowany, może wydać decyzję nakładającą obowiązek usunięcia stwierdzonych niezgodności w terminie nie krótszym niż 14 dni.
W sprawach nieuregulowanych w ustawie, do przeprowadzenia kontroli, o której mowa w art. 39b zakres nadzoru nad krajowym schematem identyfikacji elektronicznej ust. 1 pkt 1, stosuje się odpowiednio przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców.
